이걸 이용해서 노트북에 공격명령을 내리면 1차로 NIM과 HMC를 통해 내부서버와 웹서버를 공격하고, NIM을 통해 2차 공격을 다시 2차 서버를 통해 3차 공격을 시행하고 HMC를 이용해서 웹서버를 다이렉트로 공격했다고 하는군요.
그리고 이 서버들을 공격한 상황이 모두 노트북으로 전송되고, 이것을 해커가 모니터링 하고 있다가 일정 수준에 달하면 흔적을 삭제하는 방식으로 범행이 이루어졌다고 합니다.
검찰 조사에 의하면 2010년 9월 4일에 웹사이트로부터 악성코드가 감염된 것으로 확인했고, 2010년 10월 22일에 키로깅 프로그램 설치, 2011년 3월 11일에 백도어 프로그램 설치, 2011년 3월 22일에 파일삭제관련 프로그램을 설치한 것으로 알아냈고, 2011년 4월 12일 아침 8시 쯤에 공격명령 파일을 설치해서 4월 12일 오후 5시경 시작을 명령했다고 합니다.
이후 파괴시작 약 1분 사이에 서버장애 발생을 최초로 인식해서 SMS 수신을 했고, 5시 정각에 rm dd 명령 실행을 확인했으며, 5시 10분 경에 공격한 노트북의 IP를 파악했다고 합니다. 이후 12일 5시 20분 경에 노트북에서 공격악성코드가 삭제됐고, 30분 쯤에 HMC 콘솔을 이용해 서버 셧다운이 시작됐다고 합니다.
키로깅을 통해 IP와 비밀번호를 취득했고, 악성코드의 암호화 방식은 3.3 DDoS의 A로 시작하는 45자 암호키가 100% 동일하고 삭제대상 파일의 확장자를 비교한 결과 뉴스에도 한 번 언급됐던 7.7 DDoS 암호키와는 29개 일치로 93%, 3.4 DDoS 암호키와는 31개로 100% 일치한다고 합니다.
7.7, 3.4 모두 악성코드의 감염경로는 웹하드 사이트, 유포수법은 웹하드 사이트의 자동 업데이트를 위장한 것으로 밝혀졌으며, 공격명령 IP는 7.7의 경우 총 50개국 538개의 IP, 3.4의 경우 총 70개국 748개의 IP로 공격했고, 3.4 IP 중에는 7.7과 3개의 IP가 일치했다고 합니다.
공격구조는 3.4, 7.7 모두 공격프로그램과 공격명령, 서버목록을 분리시켜 공격했고, 분석을 곤란하게 하기 위해서 7.7 코드는 문자열을 조합시켜 교란을, 3.4에는 치환이 없었다고 하네요. 암호화 기법의 경우, 7.7은 아직 확인이 안 됐고, 3.4는 자체 제작의 암호 기법이었다고 합니다.
최종적으로 농협 서버에 침투된 것은 감염경로와 유포수법은 모두 동일, 공격명령 IP는 총 13개국 27개의 IP로 이중 3.4와 1개가 일치했으며, 공격구조 동일, 비교대상 확장자 검사 결과 총 31개 3.4와 100% 동일, 분석방해 수법은 문자열 조합인 7.7과 동일, 암호화 기법은 3.4의 자체 제작과 동일했다고 합니다.
2011.05.06 11:40:03 (*.49.213.48)
Fastone
10년 9월에 감염이라니 몇개월 동안 백신을 돌린적이 없다는 말인가...?
2011.05.06 14:06:38 (*.37.109.86)
W-T
그런데 컴파일된 프로그램에서 저렇게 소스코드를 뽑아낼수 있나요.
해킹된 컴퓨터에서 코딩해서 컴파일했을리는 없을거고...
2011.05.06 14:24:35 (*.213.167.90)
Excelsis
컴파일된 프로그램에서 소스코드를 완전히는 못 빼도 비슷하게 만들 수는 있습니다
특히 C/C++의 경우 변수명을 제외한 부분에서 거의 동일하게 만들 수도 있습니다.
2011.05.06 17:16:53 (*.106.95.139)
Zenon
소스코드를 완전히 뽑아내는건 아니더라도 어느정도 '이렇게 구현했겠거니...' 하면서 분석할 수는 있습니다.
이 분야를 리버스 엔지니어링이라고 하며, 위의 내용정도는 리버싱으로 분석이 가능합니다. 물론 쉽다는 예기는 절대 아닙니다 ㅇㅅㅇ
이 내용을 읽고 있으면 왜 이것도 북때문이라는 추측이 나오는건지 알만합니다. 디도스를 북의 행위라고 사실상 단정하고 있는데
마침 터진 해킹사건도 굉장히 유사한 프로그램으로 지령을 내렸으니 말이죠. 다만 디도스 악플 분석할때 제대로 북이 했다는 증거를 들고 있냐가 문젠데...ㅇㅅㅇ
2011.05.06 18:37:37 (*.43.180.11)
스틸싫다;;
비슷하겠거니- 라고는 할 수 있지만 저걸 소스코드입니다- 라고 할 수는 없는거죠. 마치 우리가 먹은 밥이 변이되어 거름으로 뿌려져 다시 쌀이되고 밥이되어온들 같은 밥이라곤 할 수 없는거 아닌가요.
2011.05.06 22:57:51 (*.155.75.193)
Zenon
소스코드를 완벽하게 뽑아냈다는 내용은 없어보입니다. 리버싱(maybe) 분석 결과 그랬다... 정도예요.
본문에서 제시하는 중요한 증거는 암호화에 사용된 키(key)와 공격 지령을 내리는 IP에 관련된 내용입니다.
실제 소스코드가 어떻게 작성됬을지 원작자 제외하면 누군들 어떻게 알겠어요...